UAI-1 是当前用于结构化 AI 对 AI 通信的公共消息标准。
UAIX 屏蔽标志 公共互操作性章程 UAIX.org 通用人工智能交换 公共标准发布
当前 UAI-1
  • 当前版本 UAI-1
  • 简明英文定义 开放消息格式以进行可审计的 AI 对 AI 交换
  • 当前归因 Michael Joseph Kappel, MCP
  • 从这里开始 此处说明当前公开记录、证据路径和支持边界。

治理

政策与安全

面向许可、发布期安全纪律以及隐私、可访问性和分析治理专页的信任政策总枢纽。

  • 记录 UAIX-GOVR-0076
  • 小路 /zh-cn/governance/policy-and-security/
  • 使用 规范公共记录

文件状态

公共标准页面 作为当前公共标准记录的一部分在 UAIX 上发布
代码
UAIX-GOVR-0076
表面
治理
使用权
公开且可链接

如何使用本页

当你需要查看启动表面当前关于政策、许可、安全、可访问性和分析的公开姿态时,请使用本页。

配合阅读

治理隐私与数据可访问性分析

政策枢纽

从这里进入专门的信任页面与跨领域发布姿态

本页现在是关于许可、安全敏感发布纪律,以及隐私与数据、可访问性和分析三张专页的治理枢纽。

专门页面

信任姿态现在拥有具名子页面

请使用隐私与数据、可访问性和分析三张页面来理解各领域的公开姿态,而不是从零散备注中自行推断。

安全纪律

让加固工作始终绑定到公开信任声明

在扩大支持姿态之前,HTTPS、安全响应头、发现文件交付、站点地图交付和面向机器的路由行为都应保持一致。

未来工作

专门页面已发布,机构化能力尚未发布

同意中心、政策办公室、认证项目和安全运营台,除非被正式加入公开记录,否则仍属于未来工作。

配合阅读

治理权威来源与变更处理姿态。隐私与数据公开数据暴露与发现姿态。可访问性可读的启动页面与人工 QA 姿态。分析测量边界与遥测相关的发布工作。上线就绪响应、打包、可访问性、语言版本和发布证据的上线闸门。API 参考信任相关问题经常会触及的面向机器表面。一致性包面向发布评审的可复用证据包。变更日志面向信任相关变更的日期化发布轨迹。

政策枢纽

专门的信任页面如何与许可和安全发布姿态配合

当启动评审需要查看完整的信任与政策地图,而又不能推断出站点未公开的更广泛机构基础设施时,请使用此矩阵。

运行领域当前已发布在此验证尚未公开
许可与打包条款当前公开发布主题在其包头中声明为 GPL v2 或更高版本,其他分发包则应依据各自附带的头信息、声明与源代码条款分别评估。更广泛的全站商标、认证或机构级许可计划尚未公开发布。
隐私与公开数据“隐私与数据”现已成为面向可读公共记录、发现行为以及公开数据暴露变化的专门公开姿态页面。更广泛的同意中心、DPA 工作流或采集政策栈尚未公开。
可访问性要求“可访问性”现已成为面向可读文本、键盘可达性、移动端安全布局以及面向发布的人工 QA 的专门公开姿态页面。正式的可访问性办公室、认证徽章或更广泛的机构项目尚未发布。
分析与遥测“分析”现已成为面向测量边界、遥测相关变更以及站点上可观察分析行为的专门公开姿态页面。已发布的看板、披露门户或更广泛的同意管理工作流仍属于未来工作。
安全与发布加固当前与安全相关的发布工作,意味着在扩大支持声明之前,必须让 HTTPS、安全头、.well-known 交付、站点地图、验证器行为和面向机器的路由保持一致。UAIX 目前尚未发布安全运营中心、事件响应入口或通用运行时保障计划。

专门的信任页面现已发布;这个枢纽把它们与跨领域的许可和安全发布姿态连接起来。

信任包

枢纽级信任工作应如何随发布传递

当某次发布改变了许可、安全相关交付,或公共站点上的任何专门信任页面时,请使用这一序列。

  1. 第 1 步

    选择受影响的信任页面

  2. 第 2 步

    检查可观察表面

  3. 第 3 步

    检查面向机器的路由与工件

  4. 第 4 步

    附上 QA 与一致性证据

  5. 第 5 步

    记录这项影响信任的变更

如果信任表面的某一部分发生变化,应先在政策枢纽、受影响的专门页面、可观察行为、机器证据和发布轨迹中同步发布该变化,再把它视为当前公开姿态。

What this page is for

Use this page as the trust-policy hub for the UAIX launch surface. It connects the dedicated public pages for privacy and data, accessibility, and analytics to the current licensing and security release posture so reviewers can audit the whole trust layer from one governance section.

当前 policy map

  • Privacy and Data for the public-reading, discovery, and data-exposure posture.
  • Accessibility for readable-launch expectations, keyboard and mobile QA, and accessibility-significant release handling.
  • Analytics for the current published limits on measurement, telemetry-significant changes, and disclosure posture.
  • Governance, the 变更日志, and News for the authority model, dated release trail, and public narrative around trust-significant changes.

当前 licensing posture

  • Active public launch theme: the current UAIX Authority theme declares GPL v2 or later in its public package header.
  • Other packaged artifacts: evaluate each distributed package against its own shipped header, notice, or bundled source terms rather than assuming one broader site-wide code license where none has yet been published.
  • Public standards pages: treat the canonical page paths as the public reading, citation, and review surface for UAI-1 and related records. Do not infer a broader trademark, certification, or endorsement right from public availability alone.

Security and release discipline

  • The public site is a standards and publication surface, not a live security gateway or managed trust service.
  • 上线检查 should keep HTTPS, security headers, .well-known delivery, sitemap delivery, validator behavior, and machine-facing route inventory aligned before public support claims are widened.
  • Use API 参考, 一致性包, the 验证器, and Implementations when a release needs reviewable machine evidence instead of prose-only assurance.

Observable response hardening

Use the section below when a launch reviewer needs the concrete response-header layer that now backs the public trust posture on WordPress-rendered routes, plus the boundary between app-level hardening and host-level deployment work.

安全姿态

当前为启动信任表面提供支撑的公开响应加固

当启动评审需要查看当前随公开 WordPress 表面一起交付的精确响应头层,以及应用层加固与边缘层部署工作的边界时,请使用本节。

X-Content-Type-Options

nosniff

防止公开标准页面和机器可读路由发生内容类型嗅探。

应用于: 公开 HTML、JSON、XML 以及类似的 WordPress 渲染响应。

Referrer-Policy

strict-origin-when-cross-origin

在保留同源调试上下文的同时,进一步收窄跨源 referrer 泄露。

应用于: 可能产生外部请求的公开文档和 API 响应。

Permissions-Policy

accelerometer=(), browsing-topics=(), camera=(), geolocation=(), gyroscope=(), magnetometer=(), microphone=(), payment=(), usb=()

明确声明启动表面不依赖特权浏览器能力,也不依赖基于 Topics 的广告功能。

应用于: 公开 WordPress 渲染页面与面向机器的路由。

X-Frame-Options

SAMEORIGIN

在保留同源编辑与预览流程的同时,阻止第三方框架嵌入。

应用于: 公开 WordPress 渲染页面与 JSON 响应。

Content-Security-Policy

frame-ancestors 'self'

在现代浏览器中明确框架边界,而不提前声称已经具备更广泛的全站 CSP。

应用于: 公开 WordPress 渲染页面与面向机器的路由。

Strict-传输-Security

max-age=31536000; includeSubDomains

把浏览器后续访问固定到规范上线主机的 HTTPS,而不只依赖政策文案。

应用于: 请求通过 HTTPS 提供时的公开 WordPress 渲染 HTML 和 REST 响应。

当前已生效

当前可在 WordPress 响应上观察到

  • X-Pingback 已从公开响应中移除。
  • 如果启动环境在 WordPress 执行后仍附加主机级或代理级版本头,这些头仍需要在服务器侧抑制。
  • 这些响应头现在会随公开 WordPress 渲染的 HTML 与 REST 响应一同交付,而不再只是路线图文案中的计划。

部署缺口

仍属于主机或边缘层

  • HTTP 到 HTTPS 重定向以及直接提供的静态文件的 HSTS 覆盖仍属于上线主机或 CDN 边缘层,因为本地 Studio 环境使用普通 HTTP。
  • 任何直接提供的静态根文件都应在服务器或边缘层检查,以确保其响应头与 WordPress 渲染的信任姿态保持一致。
  • 凡是部署栈在 WordPress 之外附加的主机级版本暴露,例如代理或 PHP 签名头,都应在相应层面被抑制。
  • 更广泛的 CSP 指令应在面向生产的资源与嵌入行为相对于启动主机验证通过之后再添加。

范围边界: 当前响应头层适用于公开的 WordPress 前端和 REST 响应,包括验证器和面向机器的评审路由;HSTS 只在 HTTPS 请求上发送。

政策与安全 API 参考 验证器 一致性包

How these policy pages fit together

  • Use this page as the hub: start here when the question is “which published policy surface should I read next?”
  • Use the dedicated pages for the actual posture: Privacy and Data, Accessibility, and Analytics each publish the current launch-stage boundary for that area.
  • Use 引用 and Contributors and /.well-known/uaix.json when a reviewer needs the current public discovery and handoff packet without relying on screenshots or private instructions.

Principles-based policy review

  • Cognitive-agency review: changes that affect lawful inquiry, viewpoint handling, behavioral conditioning, ranking, profiling, consent, telemetry, or automated authority require principles impact assessment.
  • Memory promotion review: external source material, generated summaries, old chats, and dropped files stay quarantined until source, checksum, review state, redaction decision, promotion target, and rollback path are recorded.
  • Support-claim review: certification, endorsement, legal-standing, SDK, CLI, runtime-control, hosted-import, automatic-sync, security-operations, consent-center, and policy-office language must remain future or research-track unless explicit public evidence exists.
  • Public-record review: when trust posture changes, update the canonical page, machine artifact, tests, release trail, roadmap state, and local .uai memory together.

What is still future work

  • A broader consent center, account-intake policy stack, or institutional legal program beyond what the site explicitly publishes today.
  • A published certification authority, public security operations center, or claims of universal runtime assurance beyond the named 实施轨道 and release evidence.
  • A broader multi-stakeholder governance body, contact center, or policy office unless and until those are formally published on canonical UAIX pages.

下一步 step

Continue to Privacy and Data, Accessibility, or Analytics for the detailed public posture in each area, then use 变更日志 and News when a trust-significant change needs dated release context.